原文鏈接: [https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000zFK6](https://support.sectigo.com/Com_KnowledgeDetail Page?Id=kA01N000000zFK6)
如果您使用的是SHA-2證書或信任鏈中包含SHA-2證書,並且您正用它來簽署內核模塊,那麼您應該需要安裝 KB3033929,它是Windows安全更新系統發佈的針對Windows 7更新的補丁。 在沒有更新的Windows 7版本上,內核會拒絕使用SHA-2的證書的簽名,因此不能使用它們來加載內核模塊。
爲了成功安裝驅動程序,必須對項目中的以下文件類型進行簽名:
.sys
.cat
前提條件:
1.下載Sectigo交叉簽名的CA。
[[KMCS] COMODO RSA Certification Authority](https://support.comodo.com/index.php?/comodo/Knowledgebase/Article/View/963/93/kmcs-comodo-rsa-certification- authority)
或
[KMCS] AddTrust External CA Root</fo nt>
(用於與內核模式驅動程序簽名一起使用)
2.打開Windows命令提示符(cmd),然後運行signtool.exe:
簽名:
使用存儲在受密碼保護的PFX文件中的證書對文件進行簽名
內核簽名有以下兩種情況:
無需時間戳:
signtool sign /v /ac ‘CROSS_SIGNED_SECTIGO_CA_HERE’ /f YOUR_PFX_HERE /p Password /n ‘Company Name’ ‘PATH_TO_FILE_TO_SIGN’
使用時間戳:
signtool sign /v /ac ‘CROSS_SIGNED_SECTIGO_CA_HERE’ /f YOUR_PFX_HERE /p Password /n ‘Company Name’ /tr http://timestamp.sectigo.com/rfc3161 ‘PATH_TO_FILE_TO_SIGN’
此命令將爲程序安裝一個包括交叉簽名證書的簽名,其中,該證書的時間戳符合RFC 3161。
注意: 公司證書名稱應與頒發給您自己的證書領域的證書完全一致。
提示:
- 您可以使用以下命令來驗證驅動程序文件的簽名:
signtool verify /v /kp ‘PATH_TO_FILE_TO_SIGN’
- 您應使用以下命令來驗證由指定目錄文件簽名的指定驅動程序:
signtool verify /v /kp /c ‘C:\CatFileName.cat’ ‘PATH_TO_FILE_TO_SIGN’
-v用於顯示詳細輸出,-kp根據內核模式驅動程序簽名標準對其進行驗證。
3.爲了減少啓動時間,請對所有驅動程序和目錄文件進行簽名。